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La norme 


La norme est destinée à servir de base dans les relations entre partenaires économiques, scientifiques, 
techniques et sociaux. 


La norme par nature est d’application volontaire. Référencée dans un contrat, elle s'impose aux parties. 
Une réglementation peut rendre d’application obligatoire tout ои partie d’une norme. 


La norme est un document élaboré par consensus au sein d’un organisme de normalisation par 
sollicitation des représentants de toutes les parties intéressées. Son adoption est précédée d’une enquête 
publique. 


La norme fait l’objet d’un examen régulier pour évaluer sa pertinence dans le temps. 


Toute norme est réputée en vigueur à partir de la date présente sur la première page. 


Pour comprendre les normes 


L’attention du lecteur est attirée sur les points suivants : 


Seules les formes verbales doit et doivent sont utilisées pour exprimer une ou des exigences qui doivent être 
respectées pour se conformer au présent document. Ces exigences peuvent se trouver dans le corps de la 
norme ou en annexe qualifiée de «normative». Pour les méthodes d'essai, l’utilisation de l'infinitif correspond 
à une exigence. 


Les expressions telles que, il convient et il est recommandé sont utilisées pour exprimer une possibilité 
préférée mais non exigée pour se conformer au présent document. Les formes verbales peut et peuvent sont 
utilisées pour exprimer une suggestion ou un conseil utiles mais non obligatoires, ou une autorisation. 


En outre, le présent document peut fournir des renseignements supplémentaires destinés à faciliter la 
compréhension ou l'utilisation de certains éléments ou à en clarifier l'application, sans énoncer d'exigence 
à respecter. Ces éléments sont présentés sous forme de notes ou d'annexes informatives. 


Commission de normalisation 


Une commission de normalisation réunit, dans un domaine d’activité donné, les expertises nécessaires à 
l'élaboration des normes françaises et des positions françaises sur les projets de norme européenne ou 
internationale. Elle peut également préparer des normes expérimentales et des fascicules de documentation. 


Si vous souhaitez commenter ce texte, faire des propositions d'évolution ou participer à sa révision, adressez 
vous à <norminfo @ afnor.org>. 


La composition de la commission de normalisation qui a élaboré le présent document est donnée ci-après. 
Lorsqu'un expert représente un organisme différent de son organisme d'appartenance, cette information 
apparaît sous la forme : organisme d'appartenance (organisme représenté). 
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Avant-propos national 

Afin de restituer au mieux les différentes acceptions utilisées sur le terrain, l'emploi d'une double traduction a été 
privilégié pour les termes suivants qui peuvent être rendus respectivement par : 

— Asset : actif / bien ; maintien dans le texte de « actif » ; 

— Business : affaire / métier ; maintien dans le texte de « métier » ; 


— Management : gestion / management ; maintien dans le texte de « gestion », sauf dans le cas de « système 
de management de la sécurité de l'information » ; 


— Organization : organisme / organisation ; maintien dans le texte de « organisation » ; 


— Risk management : gestion des risques / management des risques ; maintien dans le texte de « gestion des 
risques ». 


NOTE La traduction des termes relatifs aux risques peut être faite indifféremment au singulier ou au pluriel car « risk » 
est un terme englobant. Toutefois, préférence est donnée au maintien dans le texte du pluriel « risques ». 
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Avant-propos 


LISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique 
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux 
membres е 1150 ou dela CElparticipentau développementde Normes internationales par l'intermédiaire 
des comités techniques créés par l’organisation concernée afin de s'occuper des domaines particuliers 
de l’activité technique. Les comités techniques de 1150 et de la CEI collaborent dans des domaines 
d'intérêt commun. D’autres organisations internationales, gouvernementales et non gouvernementales, 
en liaison avec 17150 et la CEI participent également aux travaux. Dans le domaine des technologies de 
l'information, l'ISO et la CEI ont créé un comité technique mixte, l'ISO/CEI JTC 1. 


Les Normes internationales sont rédigées conformément aux règles données dans les Directives 
ISO/CEI, Partie 2. 


La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de 
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux 
pour vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des 
organismes nationaux votants. 


L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet 
de droits de propriété intellectuelle ou de droits analogues. LISO et la CEI ne sauraient être tenues pour 
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. 


L'ISO/CEI 27001 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information, 
sous-comité SC 27, Techniques de sécurité des technologies de l'information. 


Cette deuxième édition annule et remplace la première édition (ISO/CEI 27001:2005), qui a fait l’objet 
d'une révision technique. 
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0 Introduction 


0.1 Généralités 


La présente Norme internationale а été élaborée pour fournir des exigences en vue de l'établissement, 
de la mise en œuvre, de la tenue à jour et de l'amélioration continue d’un système de management de 
la sécurité de l'information. L'adoption d’un système de management de la sécurité de l'information 
relève d’une décision stratégique de l’organisation. L'établissement еї la mise en œuvre d’un système 
de management de la sécurité de l'information d’une organisation tiennent compte des besoins et des 
objectifs de l’organisation, des exigences de sécurité, des processus organisationnels mis en œuvre, ainsi 
que de la taille et de la structure de l'organisation. Tous ces facteurs d'influence sont appelés à évoluer 
dans le temps. 


Le système de management de la sécurité de l'information préserve la confidentialité, l'intégrité et la 
disponibilité de l'information en appliquant un processus de gestion des risques et donne aux parties 
intéressées l'assurance que les risques sont gérés de manière adéquate. 


Il est important que le système de management de la sécurité de l'information fasse partie intégrante 
des processus et de la structure de management d'ensemble de l’organisation et que la sécurité de 
l'information soit prise en compte dans la conception des processus, des systèmes d’information et des 
mesures. П est prévu qu'un système de management dela sécurité de l'information évolue conformément 
aux besoins de l’organisation. 


La présente Norme internationale peut être utilisée par les parties internes et externes pour évaluer la 
capacité de l’organisation à répondre à ses propres exigences en matière de sécurité de l'information. 


L'ordre dans lequel les exigences sont présentées dans la présente Norme internationale ne reflète pas 
leur importance, ni l'ordre dans lequel elles doivent être mises en œuvre. Les éléments des listes sont 
énumérés uniquement à des fins de référence. 


L'ISO/CEI 27000 décrit une vue d'ensemble et le vocabulaire des systèmes de management de la sécurité 
de l'information, en se référant à la famille des normes du système de management de la sécurité de 
l'information (incluant l'ISO/CEI 27003,21 l'ISO/CEI 2700413] et l'ISO/CEI 2700541) avec les termes et les 
définitions qui s’y rapportent. 


0.2 Compatibilité avec d’autres systèmes de management 


La présente Norme internationale applique la structure de haut niveau, les titres de paragraphe 
identiques, le texte, les termes communs et les définitions fondamentales définies dans l'Annexe SL des 
Directives І50/СЕІ, Partie 1, Supplément ISO consolidé, et, par conséquent, est compatible avec les autres 
normes de systèmes de management qui se conforment à l'Annexe SL. 


Cette approche commune définie dans l'Annexe SL sera utile aux organisations qui choisissent de mettre 
en œuvre un système de management unique pour répondre aux exigences de deux ou plusieurs normes 
de systèmes de management. 
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Technologies de l'information — Techniques de 
sécurité — Systèmes de management de la sécurité de 
l'information — Exigences 


1 Domaine d'application 


La présente Norme internationale spécifie les exigences relatives à l'établissement, à la mise en œuvre, 
à la mise à jour et à l'amélioration continue d’un système de management de la sécurité de l'information 
dans le contexte d’une organisation. La présente Norme internationale comporte également des 
exigences sur l'appréciation et le traitement des risques de sécurité de l'information, adaptées aux 
besoins de l'organisation. Les exigences fixées dans la présente Norme internationale sont génériques et 
prévues pour s'appliquer à toute organisation, quels que soient son type, sa taille et sa nature. Il n’est pas 
admis qu'une organisation s’affranchisse de l’une des exigences spécifiées aux Articles 4 à 10 lorsqu'elle 
revendique la conformité à la présente Norme internationale. 


2 Références normatives 


Les documents suivants, en tout ou partie, sont référencés de manière normative dans le présent 


document et sont indispensables à son application. Pour les références datées, seule l'édition citée 
s'applique. Pour les références non datées, la dernière édition du document de référence s'applique (у 
compris les éventuels amendements). 


ISO/CEI 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de la 
sécurité de l'information — Vue d'ensemble et vocabulaire 


3 Termes et définitions 


Pour les besoins du présent document, les termes et définitions fournis dans la norme 
ISO/CEI 27000 s'appliquent. 


4 Contexte de l'organisation 


4.1 Compréhension de l’organisation et de son contexte 


L'organisation doit déterminer les enjeux externes et internes pertinents compte tenu de sa mission et 
qui influent sur sa capacité à obtenir le(s) résultat(s) attendu(s) de son système de management de la 
sécurité de l'information. 


NOTE Déterminer ces enjeux revient à établir le contexte externe et interne de l’organisation étudié dans le 
paragraphe 5.3 de 1150 31000:2009.15] 


4.2 Compréhension des besoins et des attentes des parties intéressées 
L'organisation doit déterminer: 


a) les parties intéressées qui sont concernées par le système de management de la sécurité de 
l'information; et 


b) les exigences de ces parties intéressées concernant la sécurité de l'information. 


NOTE Les exigences des parties intéressées peuvent inclure des exigences légales et réglementaires et des 
obligations contractuelles. 
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4.3 Détermination du domaine d'application du système de management de la sécurité 
de l'information 


Pour établir le domaine d'application du système de management de la sécurité de l'information, 
l'organisation doit en déterminer les limites et l'applicabilité. 


Lorsqu'elle établit ce domaine d'application, l'organisation doit prendre en compte: 


a) les enjeux externes et internes auxquels il est fait référence en 4.1; 


b) les exigences auxquelles il est fait référence en 4.2; et 


с) les interfaces et les dépendances existant entre les activités réalisées par l’organisation et celles 
réalisées par d’autres organisations. 


Le domaine d'application doit être disponible sous forme d’information documentée. 


4.4 Système de management de la sécurité de l'information 


L'organisation doit établir, mettre en œuvre, tenir à jour et améliorer continuellement un système 
de management de la sécurité de l'information, conformément aux exigences de la présente Norme 
internationale. 


5 Leadership 


5.1 Leadership et engagement 


La direction doit faire preuve de leadership et affirmer son engagement en faveur du système de 
management de la sécurité de l'information en: 


a) s’assurant qu'une politique et des objectifs sont établis en matière de sécurité de l'information et 
qu'ils sont compatibles avec l'orientation stratégique de l’organisation; 


b) ѕ'аѕѕигапї que les exigences liées au système de management de la sécurité de l'information sont 
intégrées aux processus métiers de l’organisation; 


с) s’assurant que les ressources nécessaires pour le système de management de la sécurité de 
l'information sont disponibles; 


а) communiquant sur l'importance de disposer dun management de la sécurité de l'information 
efficace et de se conformer aux exigences du système de management de la sécurité de l'information; 


е) s’assurant que le système de management de la sécurité de l'information produit le ou les 
résultats escomptés; 


f) orientant et soutenant les personnes pour qu’elles contribuent à l'efficacité du système de 
management de la sécurité de l'information; 


р) promouvant l'amélioration continue; et 


h) aidant les autres managers concernés à faire également preuve de leadership dès lors que cela 
s'applique à leurs domaines de responsabilités. 


5.2 Politique 
La direction doit établir une politique de sécurité de l'information qui: 


a) est adaptée à la mission de l’organisation; 
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b) inclut des objectifs de sécurité de l'information (voir 6.2) ou fournit un cadre pour l'établissement 
de ces objectifs; 


с) inclut l'engagement de satisfaire aux exigences applicables en matière de sécurité de l'information; et 


а) inclut l'engagement d'œuvrer pour l'amélioration continue du système de management de la sécurité 
de l'information. 


La politique de sécurité de l'information doit: 
е) être disponible sous forme d’information documentée; 
f) être communiquée au sein de l’organisation; et 


g) être mise à la disposition des parties intéressées, le cas échéant. 


5.3 Rôles, responsabilités et autorités au sein de l’organisation 


La direction doit s'assurer que les responsabilités et autorités des rôles concernés раг la sécurité de 
l'information sont attribuées et communiquées au sein de l’organisation. 


La direction doit désigner qui а la responsabilité et l'autorité de: 


a) s'assurer que le système de management de la sécurité de l'information est conforme aux exigences 
de la présente Norme internationale; et 


b) rendre compte à la direction des performances du système de management de la sécurité de 
l'information. 


NOTE La direction peut également attribuer des responsabilités et autorités pour rendre compte des 


performances du système de management de la sécurité de l'information au sein de l'organisation. 


6 Planification 
6.1 Actions liées aux risques et opportunités 


6.1.1 Généralités 


Lorsqu'elle conçoit son système de management de la sécurité de l'information, l’organisation doit 
tenir compte des enjeux de 4.1 et des exigences de 4.2, et déterminer les risques et opportunités qui 
nécessitent d’être abordés pour: 


a) s'assurer que le système de management de la sécurité de l'information peut atteindre le ou les 
résultats escomptés; 


b) empêcher ou limiter les effets indésirables; et 

с) appliquer une démarche d'amélioration continue. 
L'organisation doit planifier: 

d) les actions menées pour traiter ces risques et opportunités; et 
е) la manière: 


1) d'intégrer et de mettre en œuvre les actions au sein des processus du système de management 
de la sécurité de l'information; et 


2) d'évaluer l'efficacité de ces actions. 
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6.12 Appréciation des risques de sécurité de l'information 


L'organisation doit définir et appliquer un processus d'appréciation des risques de sécurité de 
l'information qui: 


а) 


b) 


d) 


établit et tient à jour les critères de risque de sécurité de l'information incluant: 
1) les critères d'acceptation des risques; 
2) les critères de réalisation des appréciations des risques de sécurité de l'information; 


s'assure que la répétition de ces appréciations des risques produit des résultats cohérents, valides 
et comparables; 


identifie les risques de sécurité de l'information: 


1) applique le processus d'appréciation des risques de sécurité de l'information pour identifier les 
risques liés à la perte de confidentialité, d'intégrité et de disponibilité des informations entrant 
dans le domaine d'application du système de management de la sécurité de l'information; et 


2) identifie les propriétaires des risques; 
analyse les risques de sécurité de l'information: 


1) apprécie les conséquences potentielles dans le cas où les risques identifiés en 6.1.2 с) 1) se 
concrétisaient; 


2) procède à une évaluation réaliste de la vraisemblance d'apparition des risques identifiés еп 
6.12 с) 1); et 


3) détermine les niveaux des risques; 
évalue les risques de sécurité de l'information: 
1) compare les résultats d'analyse des risques avec les critères de risque déterminés en 6.1.2 а); et 


2) priorise les risques analysés pour le traitement des risques. 


L'organisation doit conserver des informations documentées sur le processus d'appréciation des risques 
de sécurité de l'information. 


6.1.3 Traitement des risques de sécurité de l'information 


L'organisation doit définir et appliquer un processus de traitement des risques de sécurité de 
l'information pour: 


а) 


b) 


choisir les options de traitement des risques appropriées, en tenant compte des résultats de 
l'appréciation des risques; 


déterminer toutes les mesures nécessaires à la mise en œuvre de(s) (l’)option(s) de traitement des 
risques de sécurité de l'information choisie(s); 


NOTE Les organisations peuvent concevoir ces mesures, le cas échéant, ou bien les identifier à partir de 
n'importe quelle source. 


comparer les mesures déterminées ci-dessus en 6.1.3 b) avec celles de l'Annexe A et vérifier 
qu'aucune mesure nécessaire n’a été omise; 


NOTE 1 ГАппехеА comporte une liste détaillée d'objectifs et de mesures. Les utilisateurs de la présente 
Norme internationale sont invités à se reporter à l'Annexe А pour s'assurer qu'aucune mesure nécessaire n’a 
été négligée. 


МОТЕ2  Lesobjectifssontimplicitementinclus dans les mesures choisies. Les objectifs etles mesures énumérés 
dans l'Annexe А ne sont pas exhaustifs et des objectifs et des mesures additionnels peuvent s'avérer nécessaires. 
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а) produire une déclaration d’applicabilité contenant les mesures nécessaires (voir 6.1.3 b) et c)) et 
la justification de leur insertion, le fait qu’elles soient mises en œuvre ou non, et la justification de 
l'exclusion de mesures de l'Annexe А; 


е) élaborer un plan de traitement des risques de sécurité de l'information; et 


f) obtenir des propriétaires des risques l'approbation du plan de traitement des risques et l'acceptation 
des risques résiduels de sécurité de l'information. 


L'organisation doit conserver des informations documentées sur le processus de traitement des risques 
de sécurité de l'information. 


NOTE L'appréciation des risques de sécurité de l'information et le processus de traitement figurant dans 


la présente Norme internationale s’alignent sur les principes et les lignes directrices générales fournies dans 
l'ISO 31000.15] 


6.2 Objectifs de sécurité de l'information et plans pour les atteindre 

L'organisation doit établir, aux fonctions et niveaux concernés, des objectifs de sécurité de l'information. 
Les objectifs de sécurité de l'information doivent: 

a) être cohérents avec la politique de sécurité de l'information; 

b) être mesurables (si possible); 


с) tenir comptedes exigences applicables à la sécurité de l'information, et des résultats de l'appréciation 
et du traitement des risques; 


d) être communiqués; et 
e) être mis à jour quand cela est approprié. 


L'organisation doit conserver des informations documentées sur les objectifs liés à la sécurité de 
l'information. 


Lorsqu'elle planifie la façon d'atteindre ses objectifs de sécurité de l'information, l’organisation doit 
déterminer: 


f) cequiserafait; 

g) les ressources qui seront nécessaires; 
h) qui sera responsable; 

i) les échéances; et 


j) la façon dont les résultats seront évalués. 


7 Support 


7.1 Ressources 


L'organisation doit identifier et fournir les ressources nécessaires à l'établissement, la mise en œuvre, la 
tenue à jour et l'amélioration continue du système de management de la sécurité de l'information. 
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7.2 Compétence 
L'organisation doit: 


a) déterminer les compétences nécessaires de la ou des personnes effectuant, sous son contrôle, un 
travail qui a une incidence sur les performances de la sécurité de l'information; 


b) s'assurer que ces personnes sont compétentes sur la base d’une formation initiale ou continue ou 
d'une expérience appropriée; 


с) le cas échéant, mener des actions pour acquérir les compétences nécessaires et évaluer l'efficacité 
des actions entreprises; et 


d) conserver des informations documentées appropriées comme preuves de ces compétences. 


NOTE Les actions envisageables peuvent notamment inclure la formation, l'encadrement ou la réaffectation 
du personnel actuellement employé ou le recrutement, direct ou en sous-traitance, de personnes compétentes. 


7.3 Sensibilisation 
Les personnes effectuant un travail sous le contrôle de l’organisation doivent: 
a) être sensibilisées à la politique de sécurité de l'information; 


b) avoir conscience de leur contribution à l'efficacité du système de management de la sécurité de 
l'information, y compris aux effets positifs d’une amélioration des performances de la sécurité de 
l'information; et 


с) avoir conscience des implications de toute non-conformité aux exigences requises par le système de 
management de la sécurité de l'information. 


7.4 Communication 


L'organisation doit déterminer les besoins de communication interne et externe pertinents pour le 
système de management de la sécurité de l'information, et notamment: 


a) sur quels sujets communiquer; 
b) à quels moments communiquer; 
с) avec qui communiquer; 

d) qui doit communiquer; et 


е) les processus par lesquels la communication doit s'effectuer. 
7.5 Informations documentées 


7.5.1 Généralités 
Le système de management de la sécurité de l'information de l’organisation doit inclure: 
a) les informations documentées exigées par la présente Norme internationale; et 


b) les informations documentées que l’organisation juge nécessaires à l'efficacité du système de 
management de la sécurité de l'information. 


NOTE L'étendue des informations documentées dans le cadre d’un système de management de la sécurité de 
l'information peut différer selon l'organisation en fonction de: 


1) lataille de l’organisation, ses domaines d'activité et ses processus, produits et services; 
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2) la complexité des processus et de leurs interactions; et 


3) la compétence des personnes. 


7.5.2 Création et mise à jour 


Quand elle crée et met à jour ses informations documentées, l'organisation doit s'assurer que les éléments 
suivants sont appropriés: 


a) identification et description (par exemple titre, date, auteur, numéro de référence); 


b) format (par exemple langue, version logicielle, graphiques) et support (par exemple, papier, 
électronique); et 


с) examen et approbation du caractère approprié et pertinent des informations. 


7.5.3 Maîtrise des informations documentées 


Les informations documentées exigées par le système de management de la sécurité de l'information et 
par la présente Norme internationale doivent être contrôlées pour s'assurer: 


a) qu'elles sont disponibles et conviennent à l’utilisation, où et quand elles sont nécessaires; et 


b) qu'elles sont correctement protégées (par exemple, de toute perte de confidentialité, utilisation 
inappropriée ou perte d’intégrité). 


Pour contrôler les informations documentées, l'organisation doit traiter des activités suivantes, quand 
elles lui sont applicables: 


c) distribution, accès, récupération et utilisation; 

d) stockage et conservation, y compris préservation de la lisibilité; 

е) contrôle des modifications (par exemple, contrôle des versions); et 
f) durée de conservation et suppression. 


Les informations documentées d’origine externe que l’organisation juge nécessaires à la planification et 
au fonctionnement du système de management de la sécurité de l'information doivent être identifiées 
comme il convient et maîtrisées. 


NOTE L'accès implique une décision concernant l'autorisation de consulter les informations documentées 
uniquement, ou l'autorisation et l'autorité de consulter et modifier les informations documentées, etc. 


8 Fonctionnement 


8.1 Planification et contrôle opérationnels 


L'organisation doit planifier, mettre en œuvre et contrôler les processus nécessaires à la satisfaction 
des exigences liées à la sécurité de l'information et à la réalisation des actions déterminées en 6.1. 
L'organisation doit également mettre en œuvre des plans pour atteindre les objectifs de sécurité de 
l'information définis en 6.2. 


L'organisation doit conserver des informations documentées dans une mesure suffisante pour avoir 
l'assurance que les processus ont été suivis comme prévu. 


L'organisation doit contrôler les modifications prévues, analyser les conséquences des modifications 
imprévues et, si nécessaire, mener des actions pour limiter tout effet négatif. 


L'organisation doit s'assurer que les processus externalisés sont définis et contrôlés. 


© ISO/CEI 2013 - Tous droits réservés 7 


ISO/CEI 27001:2013(F) 


8.2 Appréciation des risques de sécurité de l'information 


L'organisation doit réaliser des appréciations des risques de sécurité de l'information à des intervalles 
planifiés ou quand des changements significatifs sont prévus ou ont lieu, en tenant compte des critères 
établis en 6.1.2 a). 


L'organisation doit conserver des informations documentées sur les résultats des processus 
d'appréciation des risques de sécurité de l'information. 


8.3 Traitement des risques de sécurité de l'information 
L'organisation doit mettre en œuvre le plan de traitement des risques de sécurité de l'information. 


L'organisation doit conserver des informations documentées sur les résultats du traitement des risques 
de sécurité de l'information. 


9 Évaluation des performances 


9.1 Surveillance, mesures, analyse et évaluation 


L'organisation doit évaluer les performances de sécurité de l'information, ainsi que l'efficacité du système 
de management de la sécurité de l'information. 


L'organisation doit déterminer: 


а) cequ'ilest nécessaire de surveiller et de mesurer, y compris les processus et les mesures de sécurité 
de l'information: 


b) les méthodes de surveillance, de mesurage, d'analyse et d'évaluation, selon le cas, pour assurer la 
validité des résultats; 


NOTE Il convient que les méthodes choisies donnent des résultats comparables et reproductibles pour 
être considérées comme valables. 


с) quand la surveillance et les mesures doivent être effectuées; 

d) qui doit effectuer la surveillance etles mesures; 

е) quand les résultats de la surveillance et des mesures doivent être analysés et évalués; et 
f) qui doit analyser et évaluer ces résultats. 


L'organisation doit conserver les informations documentées appropriées comme preuves des résultats 
de la surveillance et des mesures. 


9.2 Auditinterne 


L'organisation doit réaliser des audits internes à des intervalles planifiés afin de recueillir des 
informations permettant de déterminer si le système de management de la sécurité de l'information: 


a) est conforme: 


1) aux exigences propres de l’organisation concernant son système de management de la sécurité 
de l'information: et 


2) aux exigences de la présente Norme internationale; 


b) est efficacement mis en œuvre et tenu à jour. 
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L'organisation doit: 


c) 


f) 
g) 


planifier, établir, mettre en œuvre et tenir à jour un ou plusieurs programmes d'audit, couvrant 
notamment la fréquence, les méthodes, les responsabilités, les exigences de planification et 
l'élaboration des rapports. Le ou les programmes d'audit doivent tenir compte de l'importance des 
processus concernés et des résultats des audits précédents; 


définir les critères d'audit et le périmètre de chaque audit; 


sélectionner des auditeurs et réaliser des audits qui assurent lobjectivité et limpartialité du 
processus d'audit; 


s'assurer qu'il est rendu compte des résultats des audits à la direction concernée: et 


conserver des informations documentées comme preuves de la mise en œuvre du ou des 
programme(s) d'audit et des résultats d'audit. 


9,3 Revue de direction 


À des intervalles planifiés, la direction doit procéder à la revue du système de management de la sécurité de 
l'information mis en place par l’organisation, afin de s'assurer qu'il est toujours approprié, adapté et efficace. 


La revue de direction doit prendre en compte: 


а) 
b) 


c) 


d) 
е) 
f) 


l'état d'avancement des actions décidées à ľissue des revues de direction précédentes; 


les modifications des enjeux externes et internes pertinents pour le système de management de la 
sécurité de l'information: 


les retours sur les performances de sécurité de l'information, y compris les tendances concernant: 
1) les non-conformités et les actions correctives; 

2) les résultats de l'évaluation de la surveillance et des mesures; 

3) les résultats d'audit; et 

4) la réalisation des objectifs en matière de sécurité de l'information; 

les retours d’information des parties intéressées; 

les résultats de l'appréciation des risques et l’état d'avancement du plan de traitement des risques; et 


les opportunités d'amélioration continue. 


Les conclusions de la revue de direction doivent inclure les décisions relatives aux opportunités 
d'amélioration continue et aux éventuels changements à apporter au système de management de la 
sécurité de l'information. 


L'organisation doit conserver des informations documentées comme preuves des conclusions des revues 
de direction. 


10 Amélioration 


10.1 Non-conformité et actions correctives 


Lorsqu'une non-conformité se produit, l'organisation doit: 


a) 


réagir à la non-conformité, et le cas échéant: 


1) agir pour la maîtriser et la corriger; et 
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2) traiter les conséquences; 


b) évaluer s’il est nécessaire de mener une action pour éliminer les causes de la non-conformité, de 
sorte qu'elle ne se reproduise plus, ou qu'elle ne se produise pas ailleurs. А cet effet, l’organisation: 


1) examine la non-conformité; 
2) détermine les causes de non-conformité; et 
3) détermine si des non-conformités similaires existent, ou pourraient se produire; 
с) mettre en œuvre toutes les actions requises; 
а) réviser l'efficacité de toute action corrective mise en œuvre; et 
е) modifier, si nécessaire, le système de management de sécurité de l'information. 
Les actions correctives doivent être à la mesure des effets des non-conformités rencontrées. 
L'organisation doit conserver des informations documentées comme preuves: 
f) dela nature des non-conformités еї de toute action subséquente; et 


g) des résultats de toute action corrective. 


10.2 Amélioration continue 


L'organisation doit continuellement améliorer la pertinence, l'adéquation et l'efficacité du système de 
management de la sécurité de l'information. 


10 © ISO/CEI 2013 - Tous droits réservés 


ISO/CEI 27001:2013(F) 


Annexe À 
(normative) 


Objectifs et mesures de référence 


Les objectifs et les mesures énumérés dans le Tableau A.1 découlent directement de ceux qui sont 
répertoriés dans la norme ISO/CEI 27002:2013,1 Articles 5 à 18, avec lesquels ils sont en adéquation, et 
doivent être utilisés dans le contexte du paragraphe 6.1.3. 


А.5 


Tableau А.1 — Objectifs et mesures 


Politiques de sécurité de l'information 


А.5.1 Orientations de Ја direction en matière de sécurité de l'information 


Objectif: Apporter à la sécurité de l'information une orientation et un soutien de la part de la direction, confor- 
mément aux exigences métier et aux lois et règlements en vigueur. 


А.5.1.1 


Politiques de sécurité 
de l'information 


Mesure 


Un ensemble de politiques de sécurité de l'information doit être défini, 
approuvé par la direction, diffusé et communiqué aux salariés et aux tiers 
concernés. 


Revue des politiques de 
sécurité de l'informa- 
tion 


Mesure 


Les politiques de sécurité de l'information doivent être revues à intervalles 
programmés ou en cas de changements majeurs pour garantir leur perti- 
nence, leur adéquation et leur effectivité dans le temps. 


А.6 


Organisation de la sécurité de l'information 


A.6.1 Organisation interne 


Objectif: Établir un cadre de management pour lancer et vérifier la mise en place et le fonctionnement opéra- 
tionnel de la sécurité de l'information au sein de l’organisation. 


Fonctions et responsa- 
bilités liées à la sécu- 
rité de l'information 


Mesure 


Toutes les responsabilités en matière de sécurité de l'information doivent 
être définies et attribuées. 


Séparation des tâches 


Mesure 


Les tâches et les domaines de responsabilité incompatibles doivent être 
cloisonnés pour limiter les possibilités de modification ou de mauvais 
usage, поп autorisé(e) ou involontaire, des actifs de l’organisation. 


Relations avec les 
autorités 


Relations avec des 


Mesure 


Des relations appropriées avec les autorités compétentes doivent être 
entretenues. 


Mesure 


A.6.1.4 groupes de travail Des relations appropriées avec des groupes d'intérêt, des forums spécia- 
spécialisés lisés dans la sécurité et des associations professionnelles doivent être 
entretenues. 
La sécurité de l’infor- |Mesure 
А.6.1.5 mation dans la gestion 


de projet 


La sécurité de l'information doit être considérée dans la gestion de projet, 
quel que soit le type de projet concerné. 


A.6.2 Appareils mobiles et télétravail 


Objectif: Assurer la sécurité du télétravail et de l’utilisation d'appareils mobiles. 
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Tableau A.1 (suite) 


Mesure 

A.6.2.1 Politique en matière Une politique et des mesures de sécurité complémentaires doivent être 

d'appareils mobiles adoptées pour gérer les risques découlant de l’utilisation des appareils 

mobiles. 
Mesure 

A.6.2.2 [Télétravail Une politique et des mesures de sécurité complémentaires doivent être 
mises en œuvre pour protéger les informations consultées, traitées ou stoc- 
kées sur des sites de télétravail. 

A.7 Sécurité des ressources humaines 

A.7.1 Avant l'embauche 


Objectif: S'assurer que les salariés et les sous-traitants comprennent leurs responsabilités et sont qualifiés 
pour les rôles qu'on envisage de leur donner. 


Mesure 


Des vérifications doivent être effectuées sur tous les candidats à l'embauche 


А.7.11 Sélection des candidats | conformément aux lois, aux règlements et à l'éthique et être proportionnées 
aux exigences métier, à la classification des informations accessibles et aux 
risques identifiés. 

Mesure 
А.7.1.2 Termes et conditions |Les accords contractuels entre les salariés et les sous-traitants doivent pré- 
d'embauche ciser leurs responsabilités et celles de l’organisation en matière de sécurité 
de l'information. 
A.7.2 Pendant la durée du contrat 


Objectif: S'assurer que les salariés et les sous-traitants sont conscients de leurs responsabilités en matière de 
sécurité de l'information et qu'ils assument ces responsabilités. 


A.7.2.1 


Responsabilités de la 
direction 


Sensibilisation, appren- 
tissage et formation à 
la sécurité de l’infor- 
mation 


Mesure 


La direction doit demander à tous les salariés et sous-traitants d'appliquer 
les règles de sécurité de l'information conformément aux politiques et aux 
procédures en vigueur dans l'organisation. 


Mesure 


L'ensemble des salariés de l’organisation et, quand cela est pertinent, des 
sous-traitants, doit bénéficier d’une sensibilisation et de formations adap- 
tées et recevoir régulièrement les mises à jour des politiques et procédures 
de l’organisation s'appliquant à leurs fonctions. 


Processus disciplinaire 


Mesure 


Un processus disciplinaire formel et connu de tous doit exister pour 
prendre des mesures à l'encontre des salariés ayant enfreint les règles liées 
à la sécurité de l'information. 


A.7.3 


Rupture, terme ou modification du contrat de travail 


Objectif: Protéger les intérêts de l’organisation dans le cadre du processus de modification, de rupture ou de 
terme d’un contrat de travail. 


Achèvement ou modi- 
fication des respon- 
sabilités associées au 
contrat de travail 


Mesure 


Les responsabilités et les missions liées à la sécurité de l'information qui 
restent valables à l'issue de la rupture, du terme ou de la modification du 
contrat de travail, doivent être définies, communiquées au salarié ou au 
sous-traitant, et appliquées. 


Gestion des actifs 


А.8.1 Responsabilités relatives aux actifs 


Objectif: Identifier les actifs de l’organisation et définir les responsabilités pour une protection appropriée. 
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Tableau A.1 (suite) 


Mesure 

A.8.1.1 Inventaire des actifs |Les actifs associés à l'information et aux moyens de traitement de l’infor- 
mation doivent être identifiés et un inventaire de ces actifs doit être dressé 
et tenu à jour. 

2. А Меѕиге 

А.8.1.2 Propriété des actifs | А __ А 
Les actifs figurant à l'inventaire doivent être attribués а un propriétaire. 
Mesure 

Ag13 [Utilisation correcte des | Les règles d'utilisation correcte de l'information, les actifs associés à l’infor- 

actifs mation et les moyens de traitement de l'information doivent être identifiés, 

documentés et mis en œuvre. 
Mesure 

A8.14  |Restitution des асі |Tous les salariés et les utilisateurs tiers doivent restituer la totalité des 


actifs de l'organisation qu'ils ont en leur possession au terme de la période 
d'emploi, du contrat ou de l'accord. 


А.8.2 Classification de l'information 


Objectif: S'assurer que l'information bénéficie d’un niveau de protection approprié conforme à son importance 


pour l'organisation. 
Mesure 
Ag21 |Classification des Les informations doivent être classifiées en termes d'exigences légales, de 
informations valeur, de caractère critique et de sensibilité au regard d’une divulgation ou 
modification non autorisée. 
Mesure 
Ag22 Marquage des informa- | Un ensemble approprié de procédures pour le marquage de l'information 
tions doit être élaboré et mis en œuvre conformément au plan de classification 
adopté par l'organisation. 
Mesure 
A.8.2.3 |Manipulation des actifs | Des procédures de traitement de l'information doivent être élaborées et 


mises en œuvre conformément au plan de classification de l'information 
adopté par l'organisation. 


A.8.3 Manipulation des supports 


Objectif: Empêcher la divulgation, la modification, le retrait ou la destruction non autorisé(e) de l'information 
de l’organisation stockée sur des supports. 


Gestion des supports 


Mesure 


A.8.3.1 | movibles Des procédures de gestion des supports amovibles doivent être mises en 
œuvre conformément au plan de classification adopté par l'organisation. 
Mesure 

Ag32 |Miseau rebut des | А | | | 

Әнә“ supports Les supports qui ne sont plus nécessaires doivent être mis au rebut de 

manière sécurisée en suivant des procédures formelles. 
Mesure 

1833 Transfert physique des |Les supports contenant de l'information doivent être protégés contre les 

supports accès non autorisés, les erreurs d'utilisation et l’altération lors du trans- 

port. 

A.9 Contrôle d'accès 

A.9.1 Exigences métier en matière de contrôle d'accès 


Objectif: Limiter l'accès à l'information et aux moyens de traitement de l'information. 


A.9.1.1 


Politique de contrôle 
d'accès 


Mesure 


Une politique de contrôle d'accès doit être établie, documentée et revue sur 
la base des exigences métier et de sécurité de l'information. 
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Accès aux réseaux et 


Mesure 


A.9.1.2 j А ili j 1 i А д i 
aux services réseau Les utilisateurs doivent avoir uniquement accès au réseau et aux services 
réseau pour lesquels ils ont spécifiquement reçu une autorisation. 
A.9.2 Gestion de Гассёѕ utilisateur 


Objectif: Maîtriser l'accès utilisateur par le biais d’autorisations et empêcher les accès non autorisés aux sys- 
tèmes et services d’information. 


Enregistrement et 


Mesure 


A.9.2.1 désinscription des Un processus formel d'enregistrement et de désinscription des utilisateurs 
utilisateurs doit être mis en œuvre pour permettre l'attribution des droits d'accès. 
Mesure 
A922 |Pistribution des accès | processus formel de distribution des accès aux utilisateurs doit être mis 
aux utilisateurs en œuvre pour attribuer et retirer des droits d'accès à tous types d’utilisa- 
teurs sur l’ensemble des services et des systèmes. 
А А Меѕиге 
A923 [Gestion des droits | ПИТ | КОИ И | . 
тч, d'accès à privilèges L'allocation et l'utilisation des droits d'accès à privilèges doivent être res- 
treintes et contrôlées. 
Gestion des infor- Mesure 
A 924 mations secrètes А А 7 
а d'authentification des L'attribution des informations secrètes d’authentification doit être réalisée 
utilisateurs dans le cadre d’un processus de gestion formel. 
Mesure 
A925 Revue des droits Бл | | К | А и 
Е d'accès utilisateurs Les propriétaires d'actifs doivent vérifier les droits d'accès des utilisateurs 
à intervalles réguliers. 
Mesure 
РУ Suppression ou adapta- |Les droits d'accès aux informations et aux moyens de traitement des infor- 
“7x2 tion des droits d'accès | тайопѕ de l'ensemble des salariés et utilisateurs tiers doivent être suppri- 
més à la fin de leur période d'emploi, ou adaptés en cas de modification du 
contrat ou de l'accord. 
A.9.3 Responsabilités des utilisateurs 


Objectif: Rendre les utilisateurs responsables de la protection de leurs informations d’authentification. 


А.9.3.1 


Utilisation d’infor- 
mations secrètes 
d’authentification 


Mesure 


Les utilisateurs doivent suivre les pratiques de l’organisation pour l’utilisa- 
tion des informations secrètes d’authentification. 


А.9.4 Contrôle de l'accès au système et à l'information 


Objectif: Empêcher les accès non autorisés aux systèmes et aux applications. 


Restriction d'accès à 


Mesure 


А941 l'information L'accès à l'information et aux fonctions d'application système doit être res- 
treint conformément à la politique de contrôle d'accès. 
ПКУ +: Мезиге 
A942 (Sécuriser les procé- И А А А 
ск dures де connexion Lorsque la politique de contrôle d'accès l'exige, l'accès aux systèmes et aux 
applications doit être contrôlé par une procédure de connexion sécurisée. 
А | Мезиге 
А943 Système de gestion des А И | КО | А 
чы mots de passe Les systèmes qui gèrent les mots de passe doivent être interactifs et doivent 
garantir la qualité des mots de passe. 
Mesure 
Utilisation de pro- Ne 
A9A44  |grammesutilitairesà [L'utilisation des programmes utilitaires permettant de contourner les 
privilèges mesures de sécurité d’un système ou d'une application doit être limitée et 
étroitement contrôlée. 
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A.10 


Contrôle d'accès au 
code source des pro- 
grammes 


Cryptographie 


Mesure 


L'accès au code source des programmes doit être restreint. 


A.10.1 Mesures cryptographiques 


Objectif: Garantir l’utilisation correcte et efficace de la cryptographie en vue de protéger la confidentialité, 
l'authenticité et/ou l'intégrité de l'information. 


А.10.1.1 


Politique d'utilisation 
des mesures crypto- 
graphiques 


Mesure 


Une politique d'utilisation des mesures cryptographiques en vue de proté- 
рег l'information doit être élaborée et mise en œuvre. 


Gestion des clés 


Mesure 


Une politique sur l’utilisation, la protection et la durée de vie des clés cryp- 
tographiques doit être élaborée et mise en œuvre tout au long de leur cycle 
de vie. 


A.11 


Sécurité physique et environnementale 


А.11.1 Zones sécurisées 


Objectif: Empêcher tout accès physique non autorisé, tout dommage ou intrusion portant sur l'information et 
les moyens de traitement de l'information de l'organisation. 


A.11.1.1 


Périmètre de sécurité 
physique 


Mesure 


Des périmètres de sécurité doivent être définis et utilisés pour protéger les 
zones contenant l'information sensible ou critique et les moyens de traite- 
ment de l'information. 


Contrôle d'accès phy- 
sique 


Mesure 


Les zones sécurisées doivent être protégées par des contrôles adéquats à 
l'entrée pour s'assurer que seul le personnel autorisé est admis. 


Sécurisation des 
bureaux, des salles et 
des équipements 


Mesure 


Des mesures de sécurité physique aux bureaux, aux salles et aux équipe- 
ments doivent être conçues et appliquées. 


Protection contre les 
menaces extérieures et 
environnementales 


Mesure 


Des mesures de protection physique contre les désastres naturels, les 
attaques malveillantes ou les accidents doivent être conçues et appliquées. 


Travail dans les zones 
sécurisées 


Mesure 


Des procédures pour le travail dans les zones sécurisées doivent être 
conçues et appliquées. 


Zones de livraison et 
de chargement 


Mesure 


Les points d'accès tels que les zones de livraison et de chargement et les 
autres points par lesquels des personnes non autorisées peuvent pénétrer 
dans les locaux doivent être contrôlés et, si possible, isolés des moyens de 
traitement de l'information, de façon à éviter les accès non autorisés. 


A.11.2 Matériels 


Objectif: Empêcher la perte, l'endommagement, le vol ou Іа compromission des actifs et l'interruption des acti- 
vités de l'organisation. 


A.11.2.1 


Emplacement et pro- 
tection des matériels 


Mesure 


Les matériels doivent être localisés et protégés de manière à réduire les 
risques liés à des menaces et des dangers environnementaux et les possibi- 
lités d'accès non autorisé. 
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Mesure 
А.11.2.2 |Services généraux Les matériels doivent être protégés des coupures de courant et autres per- 
turbations dues à une défaillance des services généraux. 
Mesure 
А.11.2.3 |Sécurité du câblage Les câbles électriques ou de télécommunication transportant des données 
ou supportant les services d’information doivent être protégés contre toute 
interception ou tout dommage. 
| . [Mesure 
A 1124 Maintenance des maté- И | | | 
2. riels Les matériels doivent être entretenus correctement pour garantir leur dis- 
ponibilité permanente et leur intégrité. 
Mesure 
А.11.2.5 [Sortie des actifs Les matériels, les informations ou les logiciels des locaux de l’organisation 
ne doivent pas sortir sans autorisation préalable. 
О АЕ Mesure 
Sécurité des matériels А А „ А А А 
A.11.2.6 letdesactifshors des |Des mesures de sécurité doivent être appliquées aux matériels utilisés hors 
locaux des locaux de l’organisation en tenant compte des différents risques asso- 
ciés au travail hors site. 
Mesure 
Mise au rebut ou recy- |Tous les composants des matériels contenant des supports de stockage 
A.11.2.7 clage sécurisé(e) des doivent être vérifiés pour s'assurer que toute donnée sensible a bien été 
matériels supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé 
de façon sécurisée, avant leur mise au rebut ou leur réutilisation. 
Matériels utilisateur |Mesure 
А.11.2.8 [laissés sans surveil- Les utilisateurs doivent s'assurer que les matériels non surveillés sont 
lance dotés d’une protection appropriée. 
Mesure 
Politique du bureau . | 
A.11.29 |propre et de l'écran Une politique du bureau propre pour les documents papier et les supports 
verrouillé de stockage amovibles, et une politique de l'écran verrouillé pour les 
moyens de traitement de l'information doivent être adoptées. 
A.12 Sécurité liée à l'exploitation 


A.12.1 Procédures et responsabilités liées à l'exploitation 


Objectif: Assurer l'exploitation correcte et sécurisée des moyens de traitement de l'information. 


Procédures d’exploita- 


Mesure 


А.12.11 tion documentées Les procédures d'exploitation doivent être documentées et mises à disposi- 
tion de tous les utilisateurs concernés. 
Mesure 
А.12.1.2 Gestion дез change- Les changements apportés à l'organisation, aux processus métier, aux sys- 
ments tèmes et moyens de traitement de l'information ayant une incidence sur la 
sécurité de l'information doivent être contrôlés. 
Mesure 
A1213 |Dimensionnement L'utilisation des ressources doit être surveillée et ajustée et des projections 
sur les dimensionnements futurs doivent être effectuées pour garantir les 
performances exigées du système. 
Séparation des Mesure 
A1214 [environnements de Les environnements de développement, de test et d'exploitation doivent 


développement, de test 
et d'exploitation 


être séparés pour réduire les risques d'accès ou de changements поп auto- 
risés dans l’environnement en exploitation. 


A.12.2 Protection contre les logiciels malveillants 
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Objectif: S'assurer que l'information et les moyens de traitement de l'information sont protégés contre les logi- 
ciels malveillants. 


Mesure 


A12,21 |Mesures contre les Des mesures de détection, de prévention et de récupération conjuguées à 


logiciels malveillants  }yne sensibilisation des utilisateurs adaptée, doivent être mises en œuvre 
pour se protéger contre les logiciels malveillants. 


A.12.3 Sauvegarde 


Objectif: Se protéger de la perte de données. 


Mesure 


A1231 [Sauvegarde des infor- |Des copies de sauvegarde de l'information, des logiciels et des images 
mations systèmes doivent être réalisés et testés régulièrement conformément à une 
politique de sauvegarde convenue. 


А.12.4 Journalisation et surveillance 


Objectif: Enregistrer les événements et générer des preuves. 


Mesure 


Journalisation des 


бв Des journaux d'événements enregistrant les activités de l’utilisateur, les 
événements 


exceptions, les défaillances et les événements liés à la sécurité de l’informa- 
tion doivent être créés, tenus à jour et vérifiés régulièrement. 


А.12.4.1 


| Н Mesure 
Protection de l’infor- . С | 2, 2 | à 
mation journalisée Les moyens de journalisation et d’information journalisée doivent être pro- 


tégés contre les risques de falsification ou d'accès non autorisé. 


2 Mesure 
Journaux administra- 2: , 2. А Ес А | 
teur et opérateur Les activités de l'administrateur système et de l'opérateur système doivent 


être journalisées, protégées et vérifiées régulièrement. 


Mesure 


Synchronisation des Les horloges de l'ensemble des systèmes de traitement de l'information 
horloges concernés d’une organisation ou d’un domaine de sécurité doivent être 
synchronisées sur une source de référence temporelle unique. 


А.12.5 Maîtrise des logiciels en exploitation 


Objectif: Garantir l'intégrité des systèmes en exploitation. 


Installation de logiciels Mesure 


A.12.5.1 |sur des systèmes en Des procédures doivent être mises en œuvre pour contrôler l'installation de 


exploitation logiciel sur des systèmes en exploitation. 


A.12.6 Gestion des vulnérabilités techniques 


Objectif: Empêcher toute exploitation des vulnérabilités techniques. 


Mesure 


Gestion des vulnérabi- |Des informations sur les vulnérabilités techniques des systèmes d’informa- 
lités techniques tion en exploitation doivent être obtenues en temps opportun, l'exposition 
de l’organisation à ces vulnérabilités doit être évaluée et les mesures appro- 
priées doivent être prises pour traiter le risque associé. 


Restrictions liées à Mesure 
А.12.6.2 [l'installation de logi- 


1А Des règles régissant l'installation de logiciels par les utilisateurs doivent 
ciels 


être établies et mises en œuvre. 


А.12.7 Considérations sur l’audit des systèmes d’information 


Objectif: Réduire au minimum l'impact des activités d'audit sur les systèmes en exploitation. 
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Mesures relatives à 


Mesure 


A.12.7.1 [l'audit des systèmes Les exigences et activités d'audit impliquant des vérifications sur des 
d'information systèmes en exploitation doivent être prévues avec soin et validées afin de 
réduire au minimum les perturbations subies par les processus métier. 
A.13 Sécurité des communications 


А.13.1 Gestion de la sécurité des réseaux 


Objectif: Garantir la protection de l'information sur les réseaux et des moyens de traitement de l'information 


sur lesq 


uels elle s'appuie. 


A.13.1.1 


Contrôle des réseaux 


Sécurité des services 
de réseau 


Mesure 


Les réseaux doivent être gérés et contrôlés pour protéger l'information 
contenue dans les systèmes et les applications. 


Mesure 


Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de 
service et les exigences de gestion, doivent être identifiés et intégrés dans 
les accords de services de réseau, que ces services soient fournis en interne 
ou externalisés. 


А.13.1.3 


Cloisonnement des 
réseaux 


Mesure 


Les groupes de services d’information, d'utilisateurs et de systèmes d'infor- 
mation doivent être cloisonnés sur les réseaux. 


4.13.2 Transfert de l'information 


Objectif: Maintenir la sécurité de l'information transférée au sein de l'organisme et vers une entité extérieure. 


A.13.2.1 


Politiques et procé- 
dures de transfert de 
l'information 


Mesure 


Des politiques, des procédures et des mesures de transfert formelles 
doivent être mises en place pour protéger les transferts d’information tran- 
sitant par tous types d'équipements de communication. 


Accords en matière de 
transfert d'information 


Mesure 


Des accords doivent traiter du transfert sécurisé de l'information liée à 
l'activité entre l'organisation et les tiers. 


Messagerie électro- 
nique 


Mesure 


L'information transitant par la messagerie électronique doit être protégée 
de manière appropriée. 


Engagements de 
confidentialité ou de 
non-divulgation 


Mesure 


Les exigences en matière d'engagements de confidentialité ou de non-divul- 
gation, doivent être identifiées, vérifiées régulièrement et documentées 


conformément aux besoins de l'organisation. 


A.14 


Acquisition, développement et maintenance des systèmes d’information 


А.14.1 Exigences de sécurité applicables aux systèmes d’information 


Objectif: Veiller à се que la sécurité de l'information fasse partie intégrante des systèmes d’information tout au 
long de leur cycle de vie. Cela inclut également des exigences pour les systèmes d’information fournissant des 
services sur les réseaux publics. 


Analyse et spécifica- Mesure 


Aï411 1990 des exigences de |Les exigences liées à la sécurité de l'information doivent être intégrées aux 
sécurité de l'informa- [exigences des nouveaux systèmes d’information ou des améliorations de 
tion systèmes d’information existants. 
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Sécurisation des ser- 


Mesure 


Les informations liées aux services d'application transmises sur les réseaux 


А.14.1.2 vices d application Sur |publics doivent être protégées contre les activités frauduleuses, les diffé- 
les réseaux publics rents contractuels, ainsi que la divulgation et la modification non autori- 
sées. 
Mesure 
Protection des transac- | Les informations impliquées dans les transactions liées aux services 
A.14.1.3 tions liées aux services | d'application doivent être protégées pour empêcher une transmission 


d'application 


incomplète, des erreurs d'acheminement, la modification non autorisée, la 
divulgation non autorisée, la duplication non autorisée du message ou sa 
réémission. 


А.14.2 Sécurité des processus de développement et d'assistance technique 


Objectif: S'assurer que les questions de sécurité de l'information sont étudiées et mises en œuvre dans le cadre 
du cycle de développement des systèmes d’information. 


Politique de développe- 


Mesure 


А.14.2.1 ment sécurisé Des règles de développement des logiciels et des systèmes doivent être 
établies et appliquées aux développements de l’organisation. 
Procédures de contrôle | Mesure 
А.14.2.2 |des changements de Les changements des systèmes dans le cadre du cycle de développement 
système doivent être contrôlés par le biais de procédures formelles. 
Revue technique des | Mesure 
applications après А 
А.14.2.3 |changement apporté à | Lorsque des changements sont apportés aux plateformes d'exploitation, les 
la plateforme d'exploi- |applications critiques métier doivent être vérifiées et testées afin de véri- 
tation fier l'absence de tout effet indésirable sur l’activité ou sur la sécurité. 
Mesure 
Restrictions relatives А КОА 
А.14.2.4 |aux changements Les modifications des progiciels ne doivent pas être encouragées, être limi- 
apportés aux progiciels tées aux changements nécessaires et tout changement doit être strictement 
contrôlé. 
А Меѕиге 
Principes d'ingénie- 2 2 | | ИК | 
A14.25 |гїейе1а$ёсигїїёде$ |Des principes d'ingénierie de la sécurité des systèmes doivent être établis, 
systèmes documentés, tenus à jour et appliqués à tous les travaux de mise en œuvre 
des systèmes d'information. 
Mesure 
Environnement de Les organisations doivent établir des environnements de développement 
А.14.2.6 |développement sécu-  |sécurisés pour les tâches de développement et d'intégration du système, 
rse qui englobe l'intégralité du cycle de vie du développement du système, et еп 
assurer la protection de manière appropriée. 
, Mesure 
А1427 Développement exter- АЫ | | А Ие А 
Re |һајіѕё L'organisation doit superviser et contrôler l’activité de développement du 
système externalisée. 
И Меѕиге 
A1428 Test de la sécurité du : е СНИ А 5 
пее système Les tests de fonctionnalité de la sécurité doivent être réalisés pendant le 
développement. 
Mesure 
A4429 |Testde conformité du |Des programmes de test de conformité et des critères associés doivent être 


système 


déterminés pour les nouveaux systèmes d’information, les mises à jour et 
les nouvelles versions. 


А.14.3 Données de test 


Objectif: Garantir la protection des données utilisées pour les tests. 
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| , | Mesure 
A4434 [Protection des données А | А 2; А PAR 
95 detest Les données de test doivent être sélectionnées avec soin, protégées et 
contrôlées. 
A.15 Relations avec les fournisseurs 


А.15.1 Sécurité dans les relations avec les fournisseurs 


Objectif: Garantir la protection des actifs de l’organisation accessible aux fournisseurs. 


Politique de sécurité 
de l'information dans 


Mesure 


А.15.1.1 Я Des exigences de sécurité de l'information pour limiter les risques résultant 
les relations avec les de l’accès des fournisseurs aux actifs de l’organisation doivent être accep- 
fournisseurs tées par le fournisseur et documentées. 

Mesure 
La securite dansles Les exigences applicables liées à la sécurité de l'information doivent être 
и a conclus ауес |établies et convenues avec chaque fournisseur pouvant accéder, traiter, 
les fournisseurs stocker, communiquer ou fournir des composants de l'infrastructure infor- 
matique destinés à l'information de l’organisation. 
Chaîne d’approvision- Mesure 
A.15.1,3 [pement des produits et |Les accords conclus avec les fournisseurs doivent inclure des exigences 


des services informa- 
tiques 


sur le traitement des risques liés à la sécurité de l'information associé à la 
chaîne d’approvisionnement des produits et des services informatiques. 


A.15.2 Gestion de la prestation du service 


Objectif: Maintenir le niveau convenu de sécurité de l'information et de service conforme aux accords conclus 
avec les fournisseurs. 


Surveillance et revue 


Mesure 


A.15.2.1 des services des four- |Les organisations doivent surveiller, vérifier et auditer à intervalles régu- 
nisseurs liers la prestation des services assurés par les fournisseurs. 
Mesure 
Gestion des change- Les changements effectués dans les prestations de service des fournis- 
A.15.2.2 |ments apportés dans  |seurs, comprenant le maintien et l'amélioration des politiques, procédures 
les services des four- |е mesures existant en matière de sécurité de l'information, doivent être 
nisseurs gérés en tenant compte du caractère critique de l'information, des systèmes 
et des processus concernés et de la réappréciation des risques. 
A.16 Gestion des incidents liés à la sécurité de l'information 


А.16.1 Gestion des incidents liés à la sécurité de l'information et améliorations 


Objectif: Garantir une méthode cohérente et efficace de gestion des incidents liés à la sécurité de l'information, 
incluant la communication des événements et des failles liés à la sécurité. 


Mesure 
A 16.11 Responsabilités et Des responsabilités et des procédures permettant de garantir une réponse 
procédures rapide, efficace et pertinente doivent être établies en cas d'incident lié à la 
sécurité de l'information. 
Signalement des événe- | Mesure 
А.16.1.2 |ments liés à la sécurité |Les événements liés à la sécurité de l'information doivent être signalés dans 
de l'information les meilleurs délais par les voies hiérarchiques appropriées. 
| | Mesure 
Signalement des failles е | И А І | 
A16.13 liées à la sécurité de Les salariés et les sous-traitants utilisant les systèmes et services d'infor- 
l'information mation de l’organisation doivent noter et signaler toute faille de sécurité 
observée ou soupçonnée dans les systèmes ou services. 
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Appréciation des évé- 
nements liés à la sécu- 


Mesure 


Aita |8 У Les événements liés а la sécurité de l'information doivent être appréciés et 
rité de l'information et |i] doit être décidé s’il faut les classer comme incidents liés à la sécurité de 
prise de décision l'information. 

Réponse aux incidents |Mesure 

А.16.1.5 liés à la sécurité de Les incidents liés à la sécurité de l'information doivent être traités confor- 
l'information mément aux procédures documentées. 
Tirer des enseigne- Mesure 

A161,6 [ments des incidents Les connaissances recueillies suite à l'analyse et la résolution d'incidents 
liés à la sécurité de doivent être utilisées pour réduire la probabilité ou l'impact d'incidents 
l'information ultérieurs. 

Mesure 

A.16.17 |Collecte de preuves L'organisation doit définir et appliquer des procédures d'identification, de 
collecte, d'acquisition et de protection de l'information pouvant servir de 
preuve. 

A.17 Aspects de la sécurité de l'information dans la gestion de la continuité de l’activité 


А.17.1 Continuité de la sécurité de l'information 


Objectif: La continuité de la sécurité de l'information doit faire partie intégrante de la gestion de la continuité 
de l’activité. 


Organisation de la 


Mesure 


A171.1 (continuité dela sécu- |L'organisation doit déterminer ses exigences en matière de sécurité de l'in- 
rité de l'information formation et de continuité de management de la sécurité de l'information 
dans des situations défavorables, comme lors d’une crise ou d’un sinistre 
Mesure 
Mise en ŒUVTE de la L'organisation doit établir, documenter, mettre en œuvre et tenir à jour des 
A.17.1.2 continuité de la sécu- |ргосеѕѕиѕ, des procédures et des mesures permettant de fournir le niveau 
rité de l'information requis de continuité de sécurité de l'information au cours d’une situation 
défavorable. 
Vérifier, revoir et Mesure 
А.17.1.3 évaluer la continuité de L'organisation doit vérifier les mesures de continuité de la sécurité de l’in- 


la sécurité de l’infor- 
mation 


formation mises en œuvre à intervalles réguliers afin de s'assurer qu’elles 
sont valables et efficaces dans des situations défavorables. 


А.17.2 Redondances 


Objectif: Garantir la disponibilité des moyens de traitement de l'information 


Disponibilité des 


Mesure 


A.17.2.1 |moyens de traitement |Des moyens de traitement de l'information doivent être mis en œuvre avec 
de l'information suffisamment de redondances pour répondre aux exigences de disponibi- 
lité. 
A.18 Conformité 


A.18.1 Conformité aux obligations légales et réglementaires 


Objectif: Éviter toute violation des obligations légales, statutaires, réglementaires ou contractuelles relatives à 
la sécurité de l'information, éviter toute violation des exigences de sécurité. 


A.18.1.1 


Identification de la 
législation et des exi- 
gences contractuelles 
applicables 


Mesure 


Toutes les exigences légales, statutaires, réglementaires et contractuelles 
en vigueur, ainsi que l'approche adoptée par l’organisation pour satisfaire à 
ces exigences, doivent être explicitement définies, documentées et mises à 
jour pour chaque système d’information et pour l’organisation elle-même. 
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Droits de propriété 


Mesure 


Des procédures appropriées doivent être mises en œuvre pour garantir 


А.18.1.2 intellectuelle la conformité avec les exigences légales, réglementaires et contractuelles 
relatives à la propriété intellectuelle et à l'usage des licences de logiciels 
propriétaires. 

Mesure 
Protection des enregis- |Les enregistrements doivent être protégés de la perte, de la destruction, 

А.18.1.3 trements de la falsification, des accès non autorisés et des diffusions non autorisées, 
conformément aux exigences légales, réglementaires, contractuelles et aux 
exigences métier. 

Protection de la vie pri- | Mesure 

A1814 |У°°° protection des La protection de la vie privée et la protection des données à caractère 
données à caractère [personnel doivent être garanties telles que l'exigent la législation ou les 
personnel réglementations applicables, et les clauses contractuelles le cas échéant. 
Réglementation Mesure 

А.18.1.5 [relative aux mesures |реѕ mesures cryptographiques doivent être prises conformément aux 

cryptographiques accords, législation et réglementations applicables. 


А.18.2 Revue de la sécurité de l'information 


Objectif: Garantir que la sécurité de l'information est mise en œuvre et appliquée conformément aux politiques 
et procédures organisationnelles. 


Revue indépendante de 
la sécurité de l’infor- 
mation 


Mesure 


Des revues régulières et indépendantes de l'approche retenue par Гогра- 
nisme pour gérer et mettre en œuvre la sécurité de l'information (à savoir 
le suivi des objectifs de sécurité, les mesures, les politiques, les procédures 
et les processus relatifs à la sécurité de l'information) doivent être effec- 
tuées à intervalles définis ou lorsque des changements importants sont 
intervenus. 
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Conformité avec 
les politiques et les 
normes de sécurité 


Vérification de la 
conformité technique 


Mesure 


Les responsables doivent régulièrement vérifier la conformité du traite- 
ment de l'information et des procédures dont ils sont chargés au regard 
des politiques, des normes de sécurité applicables et autres exigences de 
sécurité. 


Mesure 


Les systèmes d’information doivent être examinés régulièrement quant à 
leur conformité avec les politiques et les normes de sécurité de l'informa- 
tion de l'organisation. 
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